En adgangskontrolliste (ACL) er en vedhæftet fil til en fil, bibliotek eller et andet objekt, der giver oplysninger om tilladelser, der er knyttet til objektet.Hvis der ikke er nogen adgangskontrolliste, kan nogen interagere med objektet og gøre noget med det.Hvis der er en liste, er adgang og aktiviteter imidlertid begrænset til personer på listen, og individuelle brugers evner kan være begrænset på forskellige niveauer.

Listen kan specificere brugere, roller eller grupper.Brugere er individuelle brugere, der er registreret i systemet, såsom et kontornetværk.Roller er titler, der er tildelt mennesker.For eksempel kan en bruger have rollen "systemadministrator."Når en adgangskontrolliste begrænser adgangen til visse roller, er det kun mennesker i disse roller, der kan manipulere objektet.Grupper er samlinger af brugere, der er registreret sammen, såsom "sekretærpool."

Adgangskontrollister kan bestemme, hvem der får lov til at se, redigere, slette eller flytte et objekt.Dette kan være nyttigt på sikkerhedsniveau, og det kan også forhindre fejl.For eksempel kan systemadministratorer begrænse adgangen til nøglesystemfiler, så folk, der ikke er erfarne, ikke ved et uheld vil ændre, slette eller flytte disse filer og forårsage et problem.Ligeledes kunne der kun foretages en fil, der læses undtagen for en bruger for at sikre, at hvis andre mennesker på netværket har adgang til filen, kan de ikke foretage ændringer i den.

Brug af en adgangskontrolliste for sikkerhed er en del af kapacitetsbaseret sikkerhed,hvor der leveres lag af sikkerhed ved hjælp af tokens, der leveres af brugere af systemet.Et token giver oplysninger om en brugermyndighed, og det matches med tilladelser, der bestemmer, om brugeren er autoriseret til at udføre en given mulighed.Denne sikkerhedsmetode tillader sikkerhed på et meget fleksibelt niveau, da individuelle filer og mapper kan have forskellige tilladelser.

Liste over adgangskontrol er kun så god som sikkerheden for individuelle identiteter på et netværk.Hvis folk ikke bruger adgangskoder eller bruger svage adgangskoder, er det muligt at kapre deres identitet og bruge dem i systemet.Hvis et system er gennemtrængt med en tastetryklogger eller lignende malware, kan det også blive kompromitteret og gøre det muligt for en uautoriseret person at komme ind i systemet.Dette er grunden til, at sikkerhed er organiseret i lag, så en svaghed i et område ikke vil nedbringe hele systemet.